10 milliós NAIH-bírság elévült tartozással kapcsolatos adatkezelés miatt

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy friss határozatában 10 millió forint adatvédelmi bírságot szabott ki egy követeléskezelő társaságra. Az ügy középpontjában egy olyan tartozás állt, amelyről a bíróság jogerősen megállapította, hogy elévült. Az adós az elévülésre hivatkozva kérte személyes adatainak törlését, azonban a követeléskezelő ennek nem tett eleget, és továbbra is kezelte az érintett adatait követelésbehajtási célból, adatkezelése jogalapjaként jogos érdekre hivatkozott. A törlést csak a hatósági eljárásban hajtotta végre, adminisztratív hibára hivatkozva.

A hatóság álláspontja szerint az elévült követeléshez kapcsolódó adatkezelés célja megszűnt, így az adatkezelőnek törölnie kellett volna az érintett személyes adatait. A NAIH kiemelte, hogy a jogszerű adatkezelés egyik alapfeltétele a célhoz kötöttség és az adatminimalizálás elve, amelyek sérülnek, ha egy már bíróság által elévültnek minősített követeléshez kapcsolódó adatokat továbbra is nyilvántartják. A határozat fontos jelzés minden követeléskezelő és hitelező számára: az elévülés nemcsak polgári jogi, hanem adatvédelmi szempontból is meghatározó jelentőségű.

A NAIH ismételten kimondta azt is, hogy az engedményezéssel megszerzett követelés érvényesítése, behajtása céljából végzett adatkezelés jogalapja nem lehet a követelés alapjául szolgáló jogviszony teljesítése. A követelésvásárló a követelés behajtása céljából saját érdekében és saját javára jár el, hiszen az engedményezéssel ő válik a követelés jogosultjává, és a követelés érvényesítése, az adós teljesítésre bírása, valamint az ennek érdekében végzett adatkezelés az ő jogos érdekét, nem pedig az alapul fekvő szerződés teljesítését szolgálja, mivel a követelés az engedményezéssel függetlenné vált a szerződéstől.

A követelésbehajtási célú adatkezelés jogalapja kizárólag a követelésvásárló jogos érdeke lehet (GDPR 6. cikk (1) bek. f) pont).